Numer portu używanego do nawiązania połączenia pomiędzy Kaspersky Security Center Linux a serwerem Twojego systemu SIEM. Tę wartość należy określić w ustawieniach Kaspersky Security Center Linux i w ustawieniach odbiornika Twojego systemu SIEM.
Wybierz protokół, który będzie używany do przesyłania wiadomości do systemu SIEM. Możesz wybrać protokół TCP/IP, UDP lub TLS przez protokół TCP.
Określ następujące ustawienia TLS, jeśli wybierzesz TLS poprzez protokół TCP:
Uwierzytelnianie serwera
W polu Uwierzytelnianie serwera możesz wybrać wartości Zaufane certyfikaty lub Odciski palców SHA:
Zaufane certyfikaty. Możesz otrzymać kompletny łańcuch certyfikatów (włącznie z certyfikatem głównym) od zaufanych urzędów certyfikacji (CA) i przesłać plik do Kaspersky Security Center Linux. Kaspersky Security Center Linux sprawdza, czy łańcuch certyfikatów serwera systemu SIEM jest również podpisany przez zaufany urząd certyfikacji, czy nie.
Aby dodać zaufany certyfikat, kliknij przycisk Przeglądaj w poszukiwaniu pliku certyfikatów urzędu certyfikacji, a następnie prześlij certyfikat.
Odciski palców SHA. Możesz określić odciski palców SHA1 całego łańcucha certyfikatów systemu SIEM (w tym certyfikatu głównego) w Kaspersky Security Center Linux. Aby dodać odcisk palca SHA1, wprowadź go w polu Odciski kciuka palców, a następnie kliknij przycisk Dodaj.
Korzystając z ustawienia Dodaj uwierzytelnianie klienta, możesz wygenerować certyfikat do uwierzytelnienia Kaspersky Security Center Linux. W ten sposób będziesz używać certyfikatu z podpisem własnym wystawionego przez Kaspersky Security Center Linux. W takim przypadku do uwierzytelnienia serwera systemu SIEM można użyć zarówno zaufanego certyfikatu, jak i odcisku palca SHA.
Dodaj nazwę podmiotu / nazwę alternatywną podmiotu
Nazwa podmiotu to nazwa domeny, dla której otrzymano certyfikat. Kaspersky Security Center Linux nie może połączyć się z serwerem systemu SIEM, jeśli nazwa domeny serwera systemu SIEM nie jest zgodna z nazwą podmiotu certyfikatu serwera systemu SIEM. Jednak serwer systemu SIEM może zmienić swoją nazwę domeny, jeśli zmieniła się nazwa w certyfikacie. W takim przypadku można określić nazwy podmiotów w polu Dodaj nazwę podmiotu / nazwę alternatywną podmiotu. Jeśli dowolna z podanych nazw podmiotów odpowiada nazwie podmiotu certyfikatu systemu SIEM, Kaspersky Security Center Linux zweryfikuje certyfikat serwera systemu SIEM.
Dodaj uwierzytelnianie klienta
W celu uwierzytelnienia klienta możesz wstawić swój certyfikat lub wygenerować go w Kaspersky Security Center Linux.
Wstaw certyfikat. Możesz użyć certyfikatu otrzymanego z dowolnego źródła, na przykład, z dowolnego zaufanego urzędu certyfikacji. Musisz określić certyfikat i jego klucz prywatny, używając jednego z następujących typów certyfikatów:
Certyfikat X.509 PEM. Prześlij plik z certyfikatem w polu Plik z certyfikatem oraz plik z kluczem prywatnym w polu Plik z kluczem. Oba pliki nie są od siebie zależne, a kolejność wczytywania plików nie ma znaczenia. Po przesłaniu obu plików określ hasło do dekodowania klucza prywatnego w polu Weryfikacja hasła lub certyfikatu. Hasło może mieć pustą wartość, jeśli klucz prywatny nie jest zakodowany.
Certyfikat X.509 PKCS12. Prześlij pojedynczy plik zawierający certyfikat i jego klucz prywatny w polu Plik z certyfikatem. Po przesłaniu pliku określ hasło do dekodowania klucza prywatnego w polu Weryfikacja hasła lub certyfikatu. Hasło może mieć pustą wartość, jeśli klucz prywatny nie jest zakodowany.
Generuj klucz. Możesz wygenerować certyfikat z podpisem własnym w Kaspersky Security Center Linux. W rezultacie Kaspersky Security Center Linux przechowuje wygenerowany certyfikat z podpisem własnym i możesz przekazać publiczną część certyfikatu lub odcisk palca SHA1 do systemu SIEM.
Jeśli chcesz, możesz wyeksportować zarchiwizowane zdarzenia z bazy danych Serwera administracyjnego i ustawić datę początkową, od której chcesz rozpocząć eksport zarchiwizowanych zdarzeń:
W otwartej sekcji określ datę rozpoczęcia w polu Data rozpoczęcia eksportu od.
Kliknij przycisk OK.
Przełącz opcję na pozycję Automatycznie eksportuj zdarzenia do bazy danych systemu SIEM Włączone.
Aby sprawdzić, czy połączenie z systemem SIEM zostało pomyślnie skonfigurowane, kliknij przycisk Sprawdź połączenie.
Zostanie wyświetlony stan połączenia.
Kliknij przycisk Zapisz.
Eksportowanie do systemu SIEM zostało skonfigurowane. Od teraz, jeśli skonfigurowano odbieranie zdarzeń w systemie SIEM, Serwer administracyjny eksportuje zaznaczone zdarzenia do systemu SIEM. Jeśli ustawisz datę rozpoczęcia eksportu, Serwer administracyjny wyeksportuje również zaznaczone zdarzenia przechowywane w bazie danych Serwera administracyjnego od określonej daty.